The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В OpenBSD добавлена поддержка запуска X-сервера без root-привилегий

24.02.2014 16:39

В OpenBSD-current добавлены изменения, позволяющие запустить X-сервер без необходимости выполнения кода с правами root для конфигураций с видеокартами Intel и AMD для которых доступны KMS-модули для переключения видеорежимов на уровне ядра. Если у пользователя нет полномочий открытия /dev/pciN в режиме чтения и записи, файл с устройством теперь открывается в режиме только для чтения без вывода ошибки, что позволяет запускать X-сервер при установке опции machdep.allowaperture=0 за счет использования драйверов inteldrm и radeondrm для организации доступа к памяти ядра и взаимодействия с видеокартой.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Опасная уязвимость в X.Org, присутствующая с 1991 года
  3. OpenNews: Планы Ubuntu по выполнению X.Org с пониженными привилегиями
  4. OpenNews: Moblin 2.0 не будет использовать root привилегии для запуске X-сервера
  5. OpenNews: X-сервер скоро будет избавлен от кода, работающего с правами суперпользователя
  6. OpenNews: X-сервер научили работать без root-привилегий
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: root, openbsd, xorg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (66) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 16:49, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, как будет работать сервер с доступом к видеокарте "только на чтение"?
     
     
  • 2.2, Шурек Табуреткин (ok), 16:53, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    По большому счету, для запуска графической оболочки нахер не нужны root-привилегии. Доступом к системным областям пусть занимаются системные службы. Ваш К.О. Ну а если надо что-то править/конфигурять - будь добр, введи пароль.
     
     
  • 3.3, Аноним (-), 16:58, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И читать ввод с клавиатуры/мыши, и выводить изображение на экран - тоже должны какие-то "системные службы", никак не относящиеся к дисплейному серверу?
     
     
  • 4.21, Аноним (-), 18:21, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >И читать ввод с клавиатуры/мыши, и выводить изображение на экран - тоже должны какие-то "системные службы", никак не относящиеся к дисплейному серверу?

    SystemD же. Скоро и в опёнке.

     
     
  • 5.32, Аноним (-), 20:13, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Таки да, для корректного управления правами на доступ к устройству необходим специальный демон, который следит, кто сейчас работает за компом и запустил ли он иксы. Пока на юниксах есть только одна рабочая реализация - systemd-logind.
     
     
  • 6.33, Аноним (-), 20:14, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    s/устройству/монитору, клавиатуре и мыши/
     
  • 6.40, arisu (ok), 21:10, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    эк портерингофанов плющит и таращит-то…
     
     
  • 7.68, Аноним (-), 21:47, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > эк портерингофанов плющит и таращит-то…

    Смех смехом, а в Red Hat работают над совокуплением иксов и systemd.

    https://fedoraproject.org/wiki/Changes/XorgWithoutRootRights

     
     
  • 8.72, arisu (ok), 13:37, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    да я давно уже не сомневаюсь, что ломать будут всё godspeed, чо ... текст свёрнут, показать
     
  • 2.4, Например (?), 17:04, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    пишет не напрямую в устройство, а через соответсвующие модули, которые уже сами пишут в устройство. Как-то так.
     
     
  • 3.5, Аноним (-), 17:08, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > пишет не напрямую в устройство, а через соответсвующие модули, которые уже сами пишут в устройство. Как-то так.

    А как организован доступ к этим модулям? "Юзай кто хочет" или "только один пользователь vasya" (гуй для других пользователей не поддерживается)?

     
     
  • 4.7, бедный буратино (ok), 17:13, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    поставь да посмотри
     
     
  • 5.12, Аноним (-), 17:29, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нечего сказать - проходи мимо.
     
     
  • 6.14, бедный буратино (ok), 17:41, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Нечего сказать - проходи мимо.

    а нахера спрашивать, если можно просто узнать?

     
     
  • 7.18, Аноним (-), 18:11, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нет не просто.
     
  • 7.22, Аноним (-), 18:38, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кастую "узнать все"!!
     
     
  • 8.35, бедный буратино (ok), 21:01, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну в сырцы загляни, если так зудит чмод ... текст свёрнут, показать
     
  • 2.16, Andrey Mitrofanov (?), 17:57, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, как будет работать сервер с доступом к видеокарте "только на чтение"?

    Нудк, открывает (если вообще) /dev/pciNNN только на чтение. _Пишет_ он в /dev/dri/card0, на котором есть r/w, например.

     
     
  • 3.19, Аноним (-), 18:13, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > _Пишет_ он в /dev/dri/card0, на котором есть r/w, например.

    Животрепещущий вопрос - _для кого_ там r/w? Для всех или только для одного избранного пользователя (единственного имеющего право запускать иксы и писать любую хрень в видеодрайвер)?

     
     
  • 4.29, Xaionaro (ok), 19:26, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно делают для группы. Более гибкое решение.
     
     
  • 5.30, Аноним (-), 20:09, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)
     
     
  • 6.37, aLexius (ok), 21:06, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Таких пользователей с работы гнать обычно надо. Возможно, что уже и с уголовным делом на этого пользователя.
     
     
  • 7.39, arisu (ok), 21:08, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Таких пользователей с работы гнать обычно надо. Возможно, что уже и с
    > уголовным делом на этого пользователя.

    сначала надо гнать админа, который настроил систему так, что обычный пользователь зачем-то состоит в одной группе с икс-сервером.

     
     
  • 8.41, aLexius (ok), 21:25, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И это, несомненно, тоже ... текст свёрнут, показать
     
  • 7.60, Аноним (-), 10:40, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Таких пользователей с работы гнать обычно надо. Возможно, что уже и с
    > уголовным делом на этого пользователя.

    Ох уж эта замечательная виндовая модель - технически доступ ограничивать не надо, есть же административные методы.
    Уголовная статья за создание вирусов уже спасла от них мир, конечно же :)

     
  • 6.38, arisu (ok), 21:07, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а какого чёрта криворукий админ позволил «другому пользователю» в иксовую группу лезть? прикинь, а если «другой пользователь» под рутом зайдёт, это вообще катастрофа будет!
     
  • 6.42, Xaionaro (ok), 21:31, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя
    > по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)

    А зачем этот другой пользователь это делает? Я так понимаю, если ему дали права, то значит доверяют. Видать зря доверяют, нужно отбирать эти права нахрен (исключить из the группы).

     
     
  • 7.65, Аноним (-), 10:47, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем этот другой пользователь это делает? Я так понимаю, если ему
    > дали права, то значит доверяют. Видать зря доверяют, нужно отбирать эти
    > права нахрен (исключить из the группы).

    Дали ему права исключительно запускать иксы, а в результате получился полный доступ к интерфейсам ввода-вывода (включая ядерный видеоинтерфейс, через который очень удобно ломать ядро). Вот поэтому rootless X в linux и не взлетел - там, в отличие от openbsd, заботятся о безопасности.

     
  • 6.55, Аноним (-), 01:30, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Особенно весело, когда при запущенных иксах другой пользователь из группы

    Какой группы? Вы предлагаете засунуть юзера и иксы в одну группу? А зачем?

     
     
  • 7.61, Аноним (-), 10:41, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой группы? Вы предлагаете засунуть юзера и иксы в одну группу? А зачем?

    Чтобы иксы работали без рута, например.

     
  • 6.57, Andrey Mitrofanov (?), 09:54, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя
    > по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)

    Итак, про _блокировки файлов не слышали:

    aLexius, arisu, Xaionaro

    и несчётное число Аноним-ов. Это Победа!

     
     
  • 7.58, бедный буратино (ok), 10:27, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Особенно весело, когда при запущенных иксах другой пользователь из группы (например, сидя
    >> по ssh) сделает cat /dev/urandom > /dev/dri/card0, например :)
    > Итак, про _блокировки файлов не слышали:
    > aLexius, arisu, Xaionaro
    > и несчётное число Аноним-ов. Это Победа!

    и меня запиши

     
  • 7.71, arisu (ok), 13:35, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    «победа» — это зачем-то не отделять иксы в отдельную группу. я так полагаю, что это от судорог при виде suid. что-то из разряда «напишу побольше лапши, лишь бы ни одного ненавистного goto!»
     
  • 4.45, Аноним (-), 23:31, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> _Пишет_ он в /dev/dri/card0, на котором есть r/w, например.
    > Животрепещущий вопрос - _для кого_ там r/w? Для всех или только для
    > одного избранного пользователя (единственного имеющего право запускать иксы и писать любую
    > хрень в видеодрайвер)?

    Если запуск иксов идёт через XDM или DM'ы из официальных пакетов, то они берут управление переключением владельца /dev/drm0 на себя.

    Если запуск иксов идёт через "startx" и т.п., то надо перед этим ручками поменять владельца/группу у /dev/drm0 на подходящую.

     
  • 2.27, Аноним (-), 19:04, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >как будет работать сервер с доступом к видеокарте "только на чтение"?

    Со статическим изображением :)

     
     
  • 3.67, Andrey Mitrofanov (?), 21:24, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>как будет работать сервер с доступом к видеокарте "только на чтение"?
    > Со статическим изображением :)

    Нет, монитор превратится в видеокамеру. --[В Советской России?!!] R/O xorg-server смотрит на тебя!

     
  • 2.44, Аноним (-), 23:28, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, как будет работать сервер с доступом к видеокарте "только на чтение"?

    В данном случае имеется в виду ограниченный доступ к регистровому пространству PCI.

    Для работы памятью видеокарты "напрямую" достаточно DRI/DRM.

     

  • 1.6, бедный буратино (ok), 17:10, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    о, точно, давно я undeadly не читал. спасибо, что напомнили.

    лучше бы вот эту новость перевели:

    http://undeadly.org/cgi?action=article&sid=20140219085851

    в назидание

     
     
  • 2.46, Аноним (-), 23:32, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > о, точно, давно я undeadly не читал. спасибо, что напомнили.
    > лучше бы вот эту новость перевели:
    > http://undeadly.org/cgi?action=article&sid=20140219085851
    > в назидание

    Так переведите. Колхоз - дело добровольное.

     
     
  • 3.48, бедный буратино (ok), 23:34, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    я не умею, я только первый абзац перевёл электронным переводчиком.
     
     
  • 4.50, Аноним (-), 23:36, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > я не умею, я только первый абзац перевёл электронным переводчиком.

    Тогда соблазните кого-нибудь в пределах физической досягаемости. В духе "могу заставить копать другого". :)

     
  • 4.59, Аноним (-), 10:38, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > я не умею, я только первый абзац перевёл электронным переводчиком.

    Переводи им же и остальное, и пости сюда. Для сельской местности сойдет :)

     
     
  • 5.62, бедный буратино (ok), 10:42, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> я не умею, я только первый абзац перевёл электронным переводчиком.
    > Переводи им же и остальное, и пости сюда. Для сельской местности сойдет :)

    И так уже две полезных новости про openbsd. А та - бесполезная. Так, побаловаться.

     
  • 2.56, Аноним (-), 04:16, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше вот это распиарить: http://marc.info/?l=openbsd-misc&m=139328676904326&w=2 . Больше студентов, хороших и разных!
     

  • 1.8, MPEG LA (?), 17:15, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в то время как дефолтный Archlinux up to date с xf86-video-intel и KDE:

    >$ ps aux | grep X
    >root       381  2.7  1.8 563912 294420 tty7    Ssl+ 08:54  10:34 /usr/bin/X :0 vt7 -nolisten tcp -auth /var/run/xauth/A:0-DQxL2b

     
     
  • 2.9, Аноним (-), 17:22, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    sudo chmod -s /usr/bin/X
     
     
  • 3.11, Аноним (-), 17:28, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Со своими матами в виде чмоД и суДО иди-ка, отдохни. Это костылище матёрый, если не видишь, значит этот пост пейсал обычный обыкновенный localhost.
     
     
  • 4.15, arisu (ok), 17:53, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Со своими матами в виде чмоД и суДО иди-ка, отдохни. Это костылище
    > матёрый, если не видишь, значит этот пост пейсал обычный обыкновенный localhost.

    ай, молодец! нифига не понял, что написали, но шашку наголо и в бой! видать, Матёрый Админ к нам завернул.

     
  • 4.23, Аноним (-), 18:42, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это костылище матёрый,

    ты про SUID bit ? Несомненно.


     
  • 2.10, Аноним (-), 17:24, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и вообще пруф что в openbsd suid bit убрали. И вообще как они это сделают если другие драйвера без root не работают?

    Запускать без рут ты в своем арчике мог 7 лет назад если не больше.

     
     
  • 3.13, Аноним (-), 17:30, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и вообще пруф что в openbsd suid bit убрали. И вообще как
    > они это сделают если другие драйвера без root не работают?

    А никто и не говорил, что убрали. Новость о том, что сделали новую экспериментальную возможность.

     
     
  • 4.47, Аноним (-), 23:34, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> и вообще пруф что в openbsd suid bit убрали. И вообще как
    >> они это сделают если другие драйвера без root не работают?
    > А никто и не говорил, что убрали. Новость о том, что сделали
    > новую экспериментальную возможность.

    Не убрали. Однако иксы в опёнке фактически работают под отдельным пользователем "_x11" и привилегии root используются только для необходимого.

     
     
  • 5.49, Аноним (-), 23:35, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> и вообще пруф что в openbsd suid bit убрали. И вообще как
    >>> они это сделают если другие драйвера без root не работают?
    >> А никто и не говорил, что убрали. Новость о том, что сделали
    >> новую экспериментальную возможность.
    > Не убрали. Однако иксы в опёнке фактически работают под отдельным пользователем "_x11"
    > и привилегии root используются только для необходимого.

    Да, а чтобы убрать - надо все драйвера в Xorg перевести на KMS. Только Xorg - это не OpenBSD, там воли это сделать ни у кого нет, увы.

     
     
  • 6.64, Аноним (-), 10:44, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Только Xorg - это не OpenBSD, там воли это сделать ни у кого нет, увы.

    Надо полагать, тот аноним, который устраивает истерику каждый раз при выкидывании из иксов не-kms дров от видях, которые не выпускают уже лет 10 - это тоже вы?

     
     
  • 7.66, Аноним (-), 14:20, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не истерил, ибо не склонен Но ругаться - ругался и ругаюсь на другое в проекте... текст свёрнут, показать
     
  • 3.20, MPEG LA (?), 18:19, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Запускать без рут ты в своем арчике мог 7 лет назад если
    > не больше.

    это понятно. просто помню метания копий во время ввода KMS, и как все кричали, что мол теперь rootless X, все дела...  но до мейнстрима так и дошло.

    и да, 7 лет - это вы загнули.

     
     
  • 4.34, Аноним (-), 20:15, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > это понятно. просто помню метания копий во время ввода KMS, и как
    > все кричали, что мол теперь rootless X, все дела...  но
    > до мейнстрима так и дошло.

    Потому что logind тогда не было. А без него rootless X - куда большее решeто, чем suid X.

     
     
  • 5.36, бедный буратино (ok), 21:01, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что logind тогда не было. А без него rootless X -
    > куда большее решeто, чем suid X.

    Один ты эксперт самый умный и красивый.

     

  • 1.28, Zenitur (ok), 19:17, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Фанатики ненужного системгэ лажанулись. На рашнфедоре был большой и пафосный текст о героическом подвиге разработчиков системгэ, которые заявляли что отвязали иксы от root. Хотя на самом деле это было сделано ещё в 2008 году: http://airlied.livejournal.com/59521.html Но патчи не приняты в апстрим.
     
     
  • 2.31, Аноним (-), 20:11, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Фанатики ненужного системгэ лажанулись. На рашнфедоре был большой и пафосный текст о
    > героическом подвиге разработчиков системгэ, которые заявляли что отвязали иксы от root.
    > Хотя на самом деле это было сделано ещё в 2008 году:
    > http://airlied.livejournal.com/59521.html Но патчи не приняты в апстрим.

    Наверное, потому, что они предполагали chmod 777 на ядерный видеоинтерфейс :)

     
     
  • 3.43, Xaionaro (ok), 21:35, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Фанатики ненужного системгэ лажанулись. На рашнфедоре был большой и пафосный текст о
    >> героическом подвиге разработчиков системгэ, которые заявляли что отвязали иксы от root.
    >> Хотя на самом деле это было сделано ещё в 2008 году:
    >> http://airlied.livejournal.com/59521.html Но патчи не приняты в апстрим.
    > Наверное, потому, что они предполагали chmod 777 на ядерный видеоинтерфейс :)

    Господа, а можно ссылочки? Не критики ради, а любопытства ради.

     
     
  • 4.54, pavlinux (ok), 23:54, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Господа, а можно ссылочки? Не критики ради, а любопытства ради.

    http://lists.x.org/archives/xorg-devel/2009-July/001295.html

     
  • 2.52, pavlinux (ok), 23:40, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотя на самом деле это было сделано ещё в 2008

    Тема "X без рута" всплывает примерно раз в 5 лет, так же как и другие баяны
    типа "Новый init", новый devfs, очередной dbus, очередной DE,...

        

     
     
  • 3.63, Аноним (-), 10:42, 25/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тема "X без рута" всплывает примерно раз в 5 лет, так же как и другие баяны
    > типа "Новый init", новый devfs, очередной dbus, очередной DE,...

    Вот же ж фигней страдают люди. Нет чтобы чем-нибудь полезным заняться. Linux под BSDL переписать, например.

     

  • 1.51, pavlinux (ok), 23:36, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Правильно, - нахрен нужен рут, ломаем систему сразу через Ring0 и шину PCI! :)
     
     
  • 2.53, Аноним (-), 23:44, 24/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Правильно, - нахрен нужен рут, ломаем систему сразу через Ring0 и шину
    > PCI! :)

    Угу. И нахрен нужны локальные вирусы и руткиты, если и так любая X-овая программа имеет полный доступ к ресурсам другой, может мониторить буфер обмена, все нажимаемые клавиши и перемещения мыши...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру